01Što je CRA
Akt o kibernetičkoj otpornosti prvi je zakon na razini EU-a kojim se utvrđuju obvezni kibernetičkosigurnosni zahtjevi za proizvodi s digitalnim elementima; hardver i softver; tijekom cijelog njihova životnog ciklusa. Odgovornost za sigurnost prebacuje na organizacije koje te proizvode stavljaju na tržište, umjesto da je prepušta korisnicima. Art. 1
U praksi se proizvod smije staviti na raspolaganje na tržištu EU-a samo ako ispunjava bitne zahtjeve iz Priloga I. i ako je proizvođač ispunio obveze koje su uz njega vezane. Sukladnost se označava Oznaka CE.
Ako vaš proizvod ima digitalne elemente i dospijeva na tržište EU-a, mora biti projektiran, izgrađen i održavan prema utvrđenom kibernetičkosigurnosnom standardu; i to morate moći dokazati.
02Na koga se primjenjuje
Uredba obuhvaća proizvode s digitalnim elementima čija namjeravana ili razumno predvidljiva upotreba uključuje izravnu ili neizravnu podatkovnu vezu. Obveze su raspoređene duž lanca opskrbe: Art. 13–28
- Proizvođači; nose primarne obveze: projektiranje, dokumentacija, ocjenjivanje sukladnosti i postupanje s ranjivostima.
- Uvoznici; smiju na tržište stavljati samo sukladne proizvode i moraju provjeriti jesu li ispunjene obveze proizvođača.
- Distributeri; moraju postupati s dužnom pažnjom i provjeriti jesu li prisutni oznaka CE i dokumentacija.
Proizvodi koji su već obuhvaćeni sektorskim pravilima; kao što su medicinski proizvodi, motorna vozila i civilno zrakoplovstvo; isključeni su, kao i nekomercijalne komponente otvorenog koda.
03Klase proizvoda
Potreban put do sukladnosti ovisi o tome koliko je proizvod kritičan. Većina proizvoda provodi samoprocjenu; kategorije višeg rizika navedene u prilozima podliježu strožim postupcima. Art. 6–7 · Annex III–IV
| Klasa | Primjeri | Put do sukladnosti |
|---|---|---|
| Zadani | Većina proizvoda s digitalnim elementima | Samoprocjena |
| Važan; I. | Upravitelji lozinki, upravljanje mrežom, VPN-ovi | Norme ili treća strana |
| Važan; II. | Operativni sustavi, vatrozidi, mikroprocesori | Ocjenjivanje od treće strane |
| Kritičan | Pametna brojila, pametne kartice, sigurnosni elementi | Obvezna certifikacija |
04Ključne obveze
Bitni zahtjevi iz Priloga I. dijele se u dvije skupine; svojstva koja proizvod mora imati i postupci koje proizvođač mora provoditi. Prilog I.
- Sigurnost po načelu ugrađene sigurnosti i zadanih postavki; isporučen sa sigurnom konfiguracijom i smanjenom napadnom površinom.
- Nema poznatih iskoristivih ranjivosti; isporučen bez poznatih iskoristivih nedostataka.
- Postupanje s ranjivostima; postupak za utvrđivanje, dokumentiranje, ispravljanje i objavu problema.
- Sigurnosna ažuriranja; besplatna, pravodobna ažuriranja tijekom cijelog utvrđenog razdoblja podrške.
- Popis sastavnica softvera; održavajte SBOM koji obuhvaća komponente proizvoda.
- Izvješćivanje; prijaviti aktivno iskorištavane ranjivosti i ozbiljne incidente ENISA-i i relevantnom CSIRT-u, uz rano upozorenje u roku od 24 sata.
05Vremenski plan i sankcije
Akt je već na snazi; njegove se obveze postupno uvode tijekom sljedećih godina. Art. 71
- Lis. 2024.Doneseno i potpisano kao zakon.
- Pros. 2024.Stupilo na snagu.
- Ruj. 2026.Primjenjuju se obveze izvješćivanja (21 mjesec nakon stupanja na snagu).
- Pros. 2027.Potpuna primjena; primjenjuje se većina odredbi (36 mjeseci).
Nesukladnost s bitnim zahtjevima može dovesti do novčanih kazni do 15 milijuna € ili 2,5 % ukupnoga svjetskog godišnjeg prometa, ovisno o tome što je veće.
06Što učiniti dalje
Počnite tako da potvrdite primjenjuje li se Akt na vaš proizvod, a zatim slijedite smjernice napisane za vašu ulogu.